一、回憶經歷
賽前:
ZYL 突然過來問我,這里有個比賽要不要一起去玩一玩,反正不收費,地點就在學校。我看了看題目類型,感覺有點慌。
“這些題目都好鬼畜啊,登陸歷史、操作記錄之類的東西該去哪里找。。。”
“我怎么知道他郵件和微信發了什么消息啊。。”
TT 在旁邊一笑:”到時候你直接把鏡像丟進軟件里去分析就可以啦~“
於是比賽前一天晚上,我們倆在電腦上裝好了分析軟件,甚至根本不知道怎么操作使用。
賽時:
人還挺多。
雖說是超級小的小比賽,但來的人着實不少,E樓那種大型的討論實驗室,坐的滿滿當當。看了一下場地分配圖,我倆坐在了牆角的位置。
對面是甘肅政法大學的團隊,兩位小姐姐 + 一位大哥,提着行李箱就進場了,隨后從里面掏出三台看起來超級厲害的微星筆記本(或者說是移動工作站)。我倆低頭看看自己的裝備:一台華為輕薄本、一台聯想Thinkpad,瞬時感覺獲獎希望渺茫。
”涼了“
題目發下來之后,我們才摸清楚電子取證比賽的基本套路:假定一個案件,分析犯罪嫌疑人、受害人的電子設備,摸清案件起因經過結果、分析嫌疑人犯罪動機、搜索嫌疑人犯罪證據。涉及的題目類型有:Windows、Linux 的基本知識,系統屬性(安裝時間、開機時間等),密碼爆破、磁盤分析、登陸歷史記錄、文件歷史記錄、Android 手機鏡像(聯系人、郵件、微信、電話等),Linux 服務器基礎(各種Server 的工作原理)。大部分內容還算熟悉,尤其是Docker 一塊的內容,碰巧比賽前幾天維護了一個用Docker 做的答題服務器,所以對題目中涉及的基本指令和文件系統並不太陌生。當然還要感謝ZYL 學神姐姐的瘋狂輸出,把Windows 鏡像和各種日志分析到皮都不剩。
中午的飯盒挺好吃。
電子取證比賽除了基本的答題,還要做一個答辯PPT,分析案件和講解題目。鑒於只有一等獎的團隊才有機會上台做比賽分享,我們隊的PPT 就做的很隨意。
比賽結束后,看到自己的分數,滿分100分,最終拿到70多分(貌似),雖然不是特別高,但總算還有收獲,比賽關鍵是重在參與。
然而萬萬沒有想到,大多數隊伍只拿到五六十分,我們用70分的成績順利擠進一等獎第三名。🤣
於是非常不情願地趕工做出來一個還算說的過去的PPT,非常不情願地上台做了簡單的分享,非常尷尬地下了台。
賽后:
原來這是西北地區幾所高校老師策划一起探討交流組織的友誼賽。
認識了非常有趣的西北政法大學的JZ 老師,兩個月后的美亞杯,他也率隊去廈門參賽了,具體下篇總結再談。
電子取證真的很有趣,和犯罪嫌疑人斗智斗勇的感覺超爽。
隨后一個月參加了美亞杯的賽前集訓。
二、工具解放生產力
當我知道我接下來要做什么工作,但這項工作本身非常復雜時,我就會考慮使用自動化工具幫助我。取證分析軟件能幫我自動掃描磁盤中關於系統配置的各項文件,並將處理結果格式化,幫助我一眼看穿結果。
但工具應該順着人的思考去做自動化處理,而不能主導人的思考。例如,binwalk 通過掃描磁盤內容發現文件頭對文件進行分析,但如果文件頭出現1bit 的損壞,它就會束手無策。
只用工具而不思考,是不會取得進步的。
三、勇於嘗試和探索
如果我當時稍微有些猶豫,拒絕了學神姐姐的邀請,那這輩子可能從此與取證比賽無緣。
如果我當時因為睡覺錯過了比賽時間,那我可能就此失去了一個與眾位大佬交流的機會。
重在參與,不能留遺憾。
四、總結反思很重要
要分析一個犯罪嫌疑人的犯罪動機和作案手段,最好的方法就是自己去體驗一次犯罪。
取證調查員如果並不了解什么是比特幣,不知道如何在黑市用比特幣進行交易,那么無論做多么詳盡的分析,都總會一頭霧水。
磁盤陣列和文件系統很復雜,需要重點學習(https://xdforensics-wiki.github.io/XDforensics-wiki/win/)